Les RSSI confrontés aux dangers du Dark Net

A l’occasion d’une conférence, le Clusif s’est penché sur le côté obscur du web. Supermarché des vices, il est aussi un lieu où se prépare et s’échange des attaques informatiques. Un intérêt pour les RSSI de s’intéresser à cette face cachée.

Ils étaient nombreux hier au Clusif (Club de la Sécurité de l’Information Français) pour écouter la conférence trimestrielle qui avait pour thème : « le Dark Web : Enjeux et mesures ». Habitués à travailler sur des sujets moins médiatiques comme la sécurité des systèmes SCADA ou la remontée d’informations des SI, les RSSI et les offreurs ont tenté de dresser un état des lieux et des enjeux pour leurs métiers face au côté obscur du web.

En introduction, François Paget, chercheur chez Intel Security/McAfee a rappelé la distinction qu’il fallait établir avec le Deep Web, la partie non visible du web car non référencé par les moteurs de recherche. Cette partie n’est pas nécessairement cachée pour des raisons illégales, indique le chercheur, mais elle est le choix de certaines entreprises ou d’individus de rester en dehors du référencement des moteurs de recherche.

Et puis il y a le Dark Net, un espace qui est majoritairement composé de boutiques vendant des services (carte bancaire, doxing (informations personnelles), pédopornographie, etc.) et du matériel (faux papiers, fausses monnaies, armes, cigarettes, etc). François Paget souligne que la majorité des sites sont en anglais, mais il existe « un Dark Net francophone ». Les moteurs de recherche sont de faibles qualités, sauf Not Evil, constate-t-il. « Il faut du flair et aller se promener sur Pastebin pour dénicher des sites. »

Montrer patte blanche et payer en Bitcoin

Pour accéder à ces supermarchés du vice, les utilisateurs passent par des réseaux d’anonymisation dont le plus connu est Tor, mais on trouve également i2P. Les outils de dialogue se font par messagerie instantanée sur IRC ou Jabber explique Anne Souveira, anciennne commissaire divisionnaire et actuellement chargée de mission auprès de la Préfecture de Paris en ajoutant que « certains ont même poussé le vice à installer des certificats pour s’assurer de l’authenticité des intervenants ».

Pour entrer en contatct, « il faut montrer patte blanche avec un système de cooptation et surtout avoir une bonne réputation sur les forums, ce qui signifie souvent avoir déjà perpétré un méfait », souligne-t-elle. La monnaie d’échange sur ces plateformes est le Bitcoin ou le Litecoin, utilisés par les cybercriminels pour blanchir l’argent sans trop de risques.

Tenir une veille des attaques et des cibles

Une fois ce bref tour d’horizon mené, Henri Codron, RSSI de Schindler et membre du Clusif, s’est interrogé de l’intérêt du Dark Net pour les opérationnels de la sécurité en entreprise. Il rappelle que la fonction du RSSI est de « protéger le système d’information de l’entreprise ». Dans ce cadre, l’analyse du Dark Net est intéressante à plus d’un titre. En premier lieu, il constate que cet espace est un lieu d’échange de vulnérabilités et d’exploit en tout genre (RAT, faille Zero Day, Trojan, Malware, DDoS ). « Nous sommes vulnérables face à cela en sachant que la sécurité périmétrique telle que nous l’avons connu est perméable via les applications, les comportements des utilisateurs, etc. », rappelle le responsable.

Autre aspect, « le Dark Net fait de nous des cibles » assure Henri Codron. Et de citer les récents exemples de fuite de données de Domino Pizza ou des laboratoires Labio. « Les données diffusées sur le Dark Net donnent des capacités à d’autres cybercriminels de les réutiliser pour attaquer », précise-t-il. Mais il n’est pas défaitiste. « Il faut être capable de détecter les signaux faibles pour mieux connaître les attaques. » Il croit en l’analyse Big Data par des sociétés de conseils de ce qui se trouve dans le Dark Net. Il écarte par contre la volonté de développer une réponse offensive des entreprises. « Ce n’est pas notre métier », conclut-il.